Aracılığıyla paylaş

Etiketleri kullanma

  • Makale

Önemli

30 Haziran 2024'te Microsoft Defender Tehdit Analizi (Defender TI) tek başına portalı (https://ti.defender.microsoft.com) kullanımdan kaldırıldı ve artık erişilebilir değil. Müşteriler Microsoft Defender portalında veya Güvenlik için Microsoft Copilot ile Defender TI kullanmaya devam edebilir. Daha fazla bilgi edinin

Microsoft Defender Tehdit Analizi (Defender TI) etiketleri, sistem tarafından türetilen veya diğer kullanıcılar tarafından oluşturulan bir yapıt hakkında hızlı içgörü sağlar. Daha iyi analizlerin yapılması için etiketler, çözümleyicilerin güncel olaylar ve araştırmalarla bunların geçmiş bağlamları arasındaki bağlantıları kurmasına yardımcı olur.

Defender TI iki tür etiket sunar: sistem etiketleri ve özel etiketler.

Önkoşullar

  • Microsoft Entra ID veya kişisel Microsoft hesabı. Oturum açma veya hesap oluşturma

  • Defender TI premium lisansı.

    Not

    Defender TI premium lisansı olmayan kullanıcılar ücretsiz Defender TI teklifimize erişmeye devam edebilir.

Sistem etiketleri

Defender TI, analizinize rehberlik etmek için sistem etiketlerini otomatik olarak oluşturur. Bu etiketler sizin için hiçbir giriş veya çaba gerektirmez.

Sistem etiketleri şunları içerebilir:

  • Yönlendirilebilir: Yapıtın erişilebilir olduğunu gösterir.
  • ÖSB: BIR IP adresi otonom sistem numarası (ASN) açıklamasının kısaltılmış bir bölümünü bir etikete çekerek analistlere IP adresinin kime ait olduğu hakkında bağlam sağlar.
  • Dinamik: Etki alanının IP Yok veya IP'yi Değiştir gibi dinamik bir etki alanı adı sistemi (DNS) hizmetinin sahibi olup olmadığını gösterir.
  • Düden: IP adresinin, güvenlik kuruluşları tarafından saldırı kampanyalarını araştırmak için kullanılan bir araştırma havuzu olduğunu gösterir. Bu nedenle, ilişkili etki alanları birbirine doğrudan bağlı değildir.

Sistem etiketleri.

Özel etiketler

Özel etiketler, güvenliğin aşılması (IC) göstergelerine bağlam getirir ve genel raporlamadan kötü bilinen veya bu şekilde kategorilere ayırdığınız etki alanlarını belirleyerek analizi daha da basitleştirir. Bu etiketleri kendi araştırmalarınızı temel alarak el ile oluşturursunuz ve bu etiketler bir yapıtla ilgili önemli içgörüleri kiracınızdaki diğer Defender TI premium lisans kullanıcılarıyla paylaşmanıza olanak sağlar.

Özel etiketler.

Özel etiketleri ekleme, değiştirme ve kaldırma

Etiket kümesine kendi özel etiketlerinizi etiket çubuğuna girerek ekleyebilirsiniz. Kuruluşunuz bir Defender TI müşterisiyse siz ve ekip üyeleriniz bu etiketleri görüntüleyebilirsiniz. Sisteme girilen etiketler özeldir ve büyük toplulukla paylaşılamaz.

Etiketleri de değiştirebilir veya kaldırabilirsiniz. Bir etiket ekledikten sonra, siz veya kuruluşunuzdaki başka bir ücretli lisans kullanıcısı etiketi değiştirebilir veya kaldırabilir ve bu sayede güvenlik ekibi arasında kolay işbirliği yapabilirsiniz.

  1. Defender portalına erişin ve Microsoft kimlik doğrulama işlemini tamamlayın. Defender portalı hakkında daha fazla bilgi edinin

  2. Tehdit bilgileri>Intel gezginine gidin.

  3. Intel gezgini arama çubuğunda etiket eklemek istediğiniz bir göstergeyi arayın.

    Etiket araması.

  4. Sayfanın sol üst köşesinde etiketleri düzenle'yi seçin.

    Etiketler araması Etiketleri düzenle.

  5. Görüntülenen Özel etiketler açılır penceresinde bu göstergeyle ilişkilendirmek istediğiniz etiketleri ekleyin. Yeni bir gösterge eklemek için Sekme tuşuna basarak yeni bir gösterge ekleyin.

    Etiketler araması Etiket ekle'yi seçin.

  6. Değişikliklerinizi kaydetmek için tüm etiketlerinizi eklemeyi tamamladıktan sonra Kaydet'i seçin.

    Etiketler araması Etiketleri kaydet'i seçin.

  7. Etiketleri düzenlemek için 3. adımı yineleyin. Sonunda X'i seçerek etiketi kaldırın, ardından 4 ile 6 arasındaki adımları yineleyerek yenilerini ekleyin.

  8. Değişikliklerinizi kaydedin.

Özel etiketleri görüntüleme ve arama

Bir IP adresi, etki alanı veya konak yapıtında arama yaptıktan sonra sizin veya diğer kişilerin kiracınıza eklediği etiketleri görüntüleyebilirsiniz.

Özel etiket araması.

  1. Defender portalına erişin ve Microsoft kimlik doğrulama işlemini tamamlayın.

  2. Tehdit bilgileri>Intel gezginine gidin.

  3. Intel gezgini arama çubuğu açılan menüsünde Etiket arama türünü seçin ve aynı etiket değerini paylaşan diğer tüm göstergeleri belirlemek için etiket değerini arayın.

    Intel gezgininde etiketleri arayın.

Ortak etiket kullanım örneği iş akışı

Bir olayı araştırdığınızı ve bunun kimlik avıyla ilgili olduğunu fark ettiğinizi varsayalım. Bu olayla ilgili GÇC'lere etiket olarak ekleyebilirsiniz phish . Daha sonra, olay yanıtı ve tehdit avcılığı ekibiniz bu GÇ'leri daha fazla analiz edebilir ve tehdit bilgileriyle birlikte çalışarak kimlik avı olayından hangi aktör grubunun sorumlu olduğunu belirleyebilir. Daha sonra bu IOC'lere veya özel etiket gibi diğer ilgili ICS'lere bağlanan hangi altyapının kullanıldığına başka [actor name] bir [SHA-1 hash] etiket ekleyebilirler.

Ayrıca bkz.